Create internalDomainFederation
Пространство имен: microsoft.graph
Create новый объект internalDomainFederation.
Этот API доступен в следующих национальных облачных развертываниях.
Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
---|---|---|
Делегированные (рабочая или учебная учетная запись) | Domain.ReadWrite.All | Недоступно. |
Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
Для приложений | Domain.ReadWrite.All | Недоступно. |
Важно!
Этот метод имеет известную проблему с разрешениями и может потребовать согласия на разрешение Directory.AccessAsUser.All для делегированных сценариев.
В делегированных сценариях вызывающему пользователю должна быть назначена по крайней мере одна из следующих Microsoft Entra ролей:
- Администратор доменных имен
- Администратор внешнего поставщика удостоверений
- Администратор гибридных удостоверений
- Администратор безопасности
HTTP-запрос
POST /domains/{domainsId}/federationConfiguration
Заголовки запросов
Имя | Описание |
---|---|
Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Content-Type | application/json. Обязательно. |
Текст запроса
В тексте запроса укажите представление объекта internalDomainFederation в формате JSON.
При создании internalDomainFederation можно указать следующие свойства.
Свойство | Тип | Описание |
---|---|---|
displayName | String | Отображаемое имя федеративного поставщика удостоверений. |
issuerUri | String | URI издателя сервера федерации. |
metadataExchangeUri | String | URI конечной точки обмена метаданными, используемой для проверки подлинности из расширенных клиентских приложений. |
signingCertificate | String | Текущий сертификат, используемый для подписывания маркеров, переданных платформа удостоверений Майкрософт. Сертификат имеет формат строки в кодировке Base 64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений и должен быть совместим с классом X509Certificate2. Это свойство используется в следующих сценариях: Microsoft Entra ID обновляет сертификаты с помощью процесса автоматической переключения, в котором пытается получить новый сертификат из метаданных службы федерации за 30 дней до истечения срока действия текущего сертификата. Если новый сертификат недоступен, Microsoft Entra ID ежедневно отслеживает метаданные и обновляет параметры федерации для домена при появлении нового сертификата. |
passiveSignInUri | String | URI, на который направляются веб-клиенты при входе в службы Microsoft Entra. |
preferredAuthenticationProtocol | authenticationProtocol | Предпочтительный протокол проверки подлинности. Допустимые значения: wsFed , saml , unknownFutureValue . |
activeSignInUri | String | URL-адрес конечной точки, используемой активными клиентами при проверке подлинности с федеративными доменами, настроенными для единого входа в Microsoft Entra ID. Соответствует свойству ActiveLogOnUriкомандлета PowerShell Set-MsolDomainFederationSettings MSOnline версии 1. |
signOutUri | String | URI, на который перенаправляются клиенты при выходе из Microsoft Entra служб. Соответствует свойству LogOffUriкомандлета PowerShell Set-MsolDomainFederationSettings MSOnline версии 1. |
promptLoginBehavior | promptLoginBehavior | Задает предпочтительное поведение для запроса на вход. Допустимые значения: translateToFreshPasswordAuthentication , nativeSupport , disabled , unknownFutureValue . |
isSignedAuthenticationRequestRequired | Логический | Если задано значение true, то при отправке запросов на проверку подлинности SAML федеративной поставщику удостоверений SAML Microsoft Entra ID подписывает эти запросы с помощью ключа подписи OrgID. Если задано значение false (по умолчанию), запросы проверки подлинности SAML, отправленные федеративным поставщику удостоверений, не подписываются. |
nextSigningCertificate | String | Резервный сертификат для подписи маркеров, который используется для подписи маркеров по истечении срока действия основного сертификата подписи. Отформатированные как строки в кодировке Base 64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений. Должен быть совместим с классом X509Certificate2. Как и в случае с подписьюCertificate, свойство nextSigningCertificate используется, если требуется откат вне обновления автоматической перенаправки, настраивается новая служба федерации или если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации. |
signingCertificateUpdateStatus | signingCertificateUpdateStatus | Предоставляет состояние и метку времени последнего обновления сертификата подписи. |
federatedIdpMfaBehavior | federatedIdpMfaBehavior | Определяет, принимает ли Microsoft Entra ID MFA, выполняемую федеративным поставщиком удостоверений, когда федеративный пользователь обращается к приложению, управляемому политикой условного доступа, требующей многофакторной проверки подлинности. Допустимые значения: acceptIfMfaDoneByFederatedIdp , enforceMfaByFederatedIdp , rejectMfaByFederatedIdp , unknownFutureValue . Дополнительные сведения см. в разделе Значения federatedIdpMfaBehavior. |
Примечание.
модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.
Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.
Значения federatedIdpMfaBehavior
Member | Описание |
---|---|
acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, Microsoft Entra ID выполняет MFA. |
enforceMfaByFederatedIdp | Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, он перенаправляет запрос федеративного поставщика удостоверений для выполнения MFA. |
rejectMfaByFederatedIdp | Microsoft Entra ID всегда выполняет MFA и отклоняет MFA, выполняемую поставщиком федеративных удостоверений. |
Примечание.
federatedIdpMfaBehavior — это усовершенствованая версия свойства SupportsMfaкомандлета PowerShell Set-MsolDomainFederationSettings MSOnline версии 1.
- Переключение между federatedIdpMfaBehavior и SupportsMfa не поддерживается.
- Если задано свойство federatedIdpMfaBehavior, Microsoft Entra ID игнорирует параметр SupportsMfa.
- Если свойство federatedIdpMfaBehavior никогда не задано, Microsoft Entra ID продолжит учитывать параметр SupportsMfa.
- Если ни federatedIdpMfaBehavior, ни SupportsMfa не заданы, Microsoft Entra ID по умолчанию будет использоваться
acceptIfMfaDoneByFederatedIdp
поведение.
Отклик
В случае успешного выполнения этот метод возвращает код отклика 201 Created
и объект internalDomainFederation в теле отклика.
Примеры
Запрос
POST https://graph.microsoft.com/v1.0/domains/contoso.com/federationConfiguration
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"displayName": "Contoso",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Отклик
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"displayName": "Contoso",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по